IDプロバイダーのルーティングルールを構成する

IDプロバイダー(IdP)ごとに、またはユーザー条件のさまざまな組み合わせに対してルーティングルールを構成します。デフォルトのルールでは、OktaがIdPに指定され、ルーティングルールの条件を満たさないユーザーに適用されます。

特定のIdPにバインドされないルーティングルールを作成するには、動的ルーティングルールの構成を参照してください。

開始する前に

利用できるIDプロバイダーのリストと同じページでOktaユーザー名とパスワードの入力をユーザーに求めるには、ユーザーがA password(パスワードを使ってセッションを確立できるようにグローバルセッションポリシー(A password)を構成します。これは、IdPとしてOktaを提供するルールや、デフォルトのルーティングルールを優先する場合に推奨されます。

ChromeBookのIdPディスカバリでは、Okta IdPと、ChromeBookのサポートを公表しているサードパーティIdPのみがサポートされます。

IPアドレスに基づいてユーザーをルーティングする場合は、少なくとも1つのネットワークゾーンを定義します。「ネットワークゾーン」を参照してください。

ルールを追加する

  1. Admin Consoleで、セキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。

  2. ルーティングルール([Routing Rules)]タブで、ルーティングルールを追加(Add Routing Rule)をクリックします。
  3. ルール名(Rule Name)を入力します。
  4. ルーティング条件を構成します。
    IF ユーザーのIP(User's IP is) ネットワークゾーンを選択します。
    AND ユーザーのデバイスプラットフォーム(User's device platform is) モバイルデバイスとデスクトップデバイスの任意の組み合わせを選択します。

    iOSデバイスはiOSルーティングルールをバイパスする場合があります。「macOSデバイス用のルーティングルールの構成」を参照してください。
    AND ユーザーがアクセスしています(User is accessing) アプリケーションまたはアプリインスタンスを追加します。アプリケーションの名前を入力すると、一致するアプリがすべて表示されます。
    AND ユーザーが一致(User matches) ユーザーが一致する必要のあるログイン属性を選択します。
    • Anythingにはすべてのユーザーが含まれます。
    • Regex on loginでは、ユーザーのログインに基づく有効な正規表現を入力して、これを照合に利用できます。これは、ドメインまたはユーザー属性の指定では照合に不十分な場合に便利です。たとえば、.*\+devtest@company.comはドメイン@company.comのログインに一致しますが、@記号の前に+devtestが含まれている場合のみです。
    • ログインに関するドメインリスト(Domain list on login)では、照合するドメインのリストを指定します(@記号は不要)。たとえば、mytest.comとなります。文字をエスケープする必要はありません(正規表現を使用する場合は必須)。
    • User attributesでは、一致する属性名、比較のタイプ、値を指定します。比較のタイプとしてRegexを選択した場合は、値に有効な正規表現を入力する必要があります。たとえば:Oktaユーザースキーマの 部署(Department) 属性として(Human Resources|Engineering|Marketing)を入力します。
    THEN このIDプロバイダーを使用(Use this identity provider)

    すべての条件が満たされた場合に利用可能にするIdPを1つ以上選択します。複数のIdPを追加すると、ユーザーはサインイン時にいずれか1つを選択できます。条件をAND ユーザー一致(User matches)に構成したときは、単一のIdPを使用する必要があります。

    任意:選択したIDプロバイダーが認証に成功しない場合は、OktaをフォールバックIDプロバイダーとして使用する(If the chosen identity provider fails to authenticate, use Okta as the fallback identity provider)を選択します。これを有効にすると、次のいずれかの理由で外部IdPが失敗した場合に、ユーザーは認証のためにOktaにリダイレクトされます。

    早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

    • 認証エラー(Authentication failure):IdPは明示的にユーザーの試行を拒否します。たとえば、無効な資格情報、MFAの失敗、ポリシーの拒否などです。

    • 検証エラー(Verification failure):IdPはセッションをサイレント検証できません。たとえば、prompt=none OIDCリクエスト時やIsPassive=true SAMLリクエスト時などです。
  5. ルールを作成(Create Rule)をクリックし、ルールを直ちにアクティブ化するかどうかを指定します。

macOSデバイス用のルーティングルールの構成

Safariでデバイスユーザーエージェントを報告する方法が変更されたため、OktaではmacOSデバイスからのアプリリクエストとiPadOSデバイスのSafariからのアプリリクエストを区別できません。

iPadOSデバイスがiOSポリシーをバイパスしないようにするには、macOSおよびiPadOSデバイスに適用する拒否/キャッチオールルーティングルールを構成します。macOSアプリのルーティングルールがiPadOSデバイスユーザーを評価することがないように、これらのユーザーには、次のいずれかのオプションを実行する必要があることを伝えます。

  • オプション1:All websites accessed from Safari (iPadOS 13 and higher)(iPadOS 13以降(Safari)からアクセスされるすべてのWebサイト)。iPadの設定でSafari設定(Safari settings) > デスクトップ用Webサイトのリクエスト(Request Desktop Website)に移動し、すべてのWebサイト(All Websites)の設定をオフにします。
  • オプション2:Webサイト単位(Per-website basis)。Safariを開き、[Search(検索)]フィールドの左側のAaをタップし、モバイル用Webサイトをリクエスト(Request Mobile Website)をタップします。

関連項目

IDプロバイダーのルーティングルール

ルーティングルールを変更する

IDプロバイダー

動的ルーティングルールを構成する